Bosh sahifa Wiki Brute force

Brute force

Brute force — maxfiy qiymat yoki yechimni topish uchun mumkin bo‘lgan variantlarni tizimli ravishda sinab ko‘rish usuli. Axborot xavfsizligida u parol, PIN, shifrlash kaliti yoki tokenni taxmin qilishga nisbatan ishlatiladi. Usul algoritmdagi maxsus zaiflikni talab qilmaydi; muvaffaqiyat ehtimoli qidiruv maydoni, taxminlar tezligi, mavjud vaqt va tekshiruvga oid cheklovlarga bog‘liq.

Online va offline hujum

Online brute force har taxminni haqiqiy login serveriga yuboradi. Server urinishlarni ko‘ra oladi va rate limit, vaqtinchalik kechikish, MFA, IP reputatsiyasi hamda monitoring bilan hujum tezligini cheklaydi. Hisobni cheksiz bloklash tajovuzkorga foydalanuvchilarni ataylab bloklash imkonini berishi mumkin; shu sababli himoya bir nechta signal va bosqichli kechikishga tayanadi.

Offline hujumda tajovuzkor parol hash bazasi yoki shifrlangan faylni qo‘lga kiritadi va o‘z apparatida cheklovsiz taxmin qiladi. Server rate limiti bunda ishlamaydi. Argon2id, scrypt, bcrypt va PBKDF2 har taxmin xarajatini oshiradi. Har yozuv uchun noyob salt hujumchiga bir hisob uchun hisoblangan natijani boshqalariga qayta ishlatishga yo‘l bermaydi.

Qidiruv maydoni

Tasodifiy n bitlik kalitda 2^n variant mavjud; o‘rtacha topish uchun yarim maydon tekshiriladi. Inson tanlagan parollar bir xil ehtimolli emas. Hujumchi avval keng tarqalgan parol, lug‘at so‘zi, ism, sana va oldingi sizishlardagi kombinatsiyalarni sinaydi. Shu sababli sakkiz belgili “murakkab” ko‘rinadigan, lekin qolipga asoslangan parol nazariy belgilar maydonidan ancha zaif bo‘lishi mumkin.

Dictionary attack faqat lug‘at ro‘yxatini, mask attack esa So‘z2026! kabi qoliplarni sinaydi. Credential stuffing boshqa xizmatdan sizgan tayyor login-parol juftlarini tekshiradi; bu toza brute force emas, ammo online autentifikatsiyada ko‘pincha bir xil abuse nazoratlari bilan aniqlanadi. Password spraying ko‘p hisobga bitta keng tarqalgan parolni qo‘llab, har hisob bo‘yicha limitni chetlashga urinadi.

Kriptografik kalitlar

128 bitlik tasodifiy simmetrik kalitni to‘liq brute force qilish amaldagi hisoblash bilan bajarib bo‘lmaydigan darajada katta. Kalit uzunligi oshgani bilan tizim avtomatik xavfsiz bo‘lmaydi: kalit paroldan zaif KDF bilan olingan, logga yozilgan yoki endpointdan o‘g‘irlangan bo‘lishi mumkin. Hujumchi odatda matematik qidiruvdan arzonroq implementatsiya va operatsion zaiflikni tanlaydi.

Shifrlash formatida har taxminni tekshirish uchun autentifikatsiya tagi yoki ma’lum plaintext strukturasi kerak bo‘ladi. AEAD tagi noto‘g‘ri kalitni aniq rad etadi, ammo bu offline taxminni yo‘q qilmaydi. Kuchli password KDF aynan har bir sinov narxini oshirish uchun ishlatiladi.

Himoya va kuzatuv

Uzun, noyob parol va password manager inson tanlovidagi qoliplarni kamaytiradi. MFA parol topilganda ham qo‘shimcha dalil talab qiladi; phishingga chidamli WebAuthn credential stuffing va password sprayingga kuchli qarshi turadi. Login endpoint hisob, IP, subnet, qurilma va vaqt bo‘yicha urinishlarni korrelatsiya qiladi.

Xato javobi foydalanuvchi mavjudligini oshkor qilmasligi kerak. CAPTCHA avtomatik urinishni qimmatlashtirishi mumkin, lekin accessibility va outsourcing sabab yagona himoya emas. Monitoring muvaffaqiyatsiz urinishlar bilan birga, ko‘p xatodan keyingi muvaffaqiyat, geografik o‘zgarish va bir qurilmadan ko‘p hisobga kirishni kuzatadi.

Hisoblash tezligini baholash

Hujum muddatini faqat “sekundiga nechta taxmin” bilan hisoblashda algoritm, apparat, parallel worker va candidate taqsimoti ko‘rsatiladi. Online tezlik server limiti bilan, offline tezlik esa hash parametri bilan keskin farq qiladi. O‘rtacha tasodifiy key qidiruvi maydonning yarmiga teng, inson paroli esa ehtimollik tartibida ancha oldin uchrashi mumkin. Shu sababli nazariy belgilar kombinatsiyasi real password strengthning to‘liq o‘lchovi emas.

Bog‘liq tushunchalar

Dictionary attack, Password spraying, Credential stuffing, Rate limiting, Password hashing, MFA, Key space